Thought Leadership
Forscher von Malwarebytes haben eine neuartige Doppel-Attacke aufgedeckt. Bei ihren Analysen stießen die Security-Experten auf ein verdächtiges Dokument mit dem Namen “Манифест.docx” (“Manifest.docx”), das zwei Schadsoftware-Templates herunterlädt und aktiviert: eines nutzt Makros und das andere ist ein Html-Objekt, das eine Schwachstelle im Internet Explorer ausnutzt.
Beide Techniken zielen darauf ab, einen Remote-Access-Trojaner (RAT) einzuschleusen. Die Kombination beider Techniken ist vorher noch nicht beobachtet worden. Die Technik, die auf die Schwachstelle im Internet Explorer abzielt (CVE-2021-26411), wurde zuvor allerdings bereits von der Lazarus-Gruppe verwendet.
Anhand der verwendeten Techniken allein konnten die Forscher nicht feststellen, wer hinter dieser Attacke steckt. Aber ein Decoy-Dokument, das den Opfern gezeigt wurde, liefert einige Hinweise. Es enthält die Erklärung einer Gruppe, die Andrej Sergejewitsch Portyko nahesteht und gegen Putins Politik auf der Halbinsel Krim gerichtet ist. Die Attacke ist allerdings auch bereits in den Niederlanden und den USA aufgetaucht.
Bei einer erfolgreichen Attacke führt der Remote-Access-Trojaner die folgenden Aktionen aus:
- Informationen über das Opfer sammeln
- Das Antivirenproramm identifizieren, das auf dem Gerät des Opfers läuft
- Shell-Codes ausführen
- Dateien löschen
- Dateien up- und downloaden
- Disk- und Dateisystem-Informationen auslesen
Mehr Informationen zu dieser neuartigen Attacke finden Sie hier.
https://de.malwarebytes.com/
